Meltdown e Spectre: segurança não está contra a produtividade

1

As possíveis repercussões das vulnerabilidades Meltdown e Spectre são impressionantes. Seu potencial de criar transtornos extensivos a praticamente todo CPU disponível no mundo deve ser considerado com cuidado. No entanto, não há necessidade para o pânico generalizado. Com efeito, a gravidade é alta, mas a complexidade de criar exploits é a mesma que para arquitetar soluções que previnam potenciais ataques em processadores, sistemas operacionais e aplicativos. Até o momento não há relatos de malware utilizando esta falha para afetar sistemas.

Com isto, temos um intervalo mínimo para avaliar os efeitos destes eventos. Embora a maioria dos fabricantes tenha oferecido feedback ágil, os patches de correção para sistemas operacionais e aplicativos são medidas para o curto prazo, dado que o problema fundamental está no escopo do hardware. A correção em termos de design dos processadores não é um processo imediato e pode levar anos até sua conclusão. Além disso, esbarramos em um desafio ainda maior, que é de endereçar a segurança dos milhões de dispositivos que adotam os processadores anteriores às melhorias necessárias para enfrentar Meltdown e Spectre.

O que nos leva a primeira grande lição deste episódio. Considerar segurança no design de qualquer tecnologia. Vale notar que as brechas reportadas representam técnicas para melhoria da performance de processamento (execução especulativa). Neste caso, o privilégio da produtividade em "detrimento" da segurança são faces de uma mesma moeda. A mesma questão deverá ser observada na adoção de tecnologias emergentes: a nuvem, a internet das coisas e o machine learning.

O segundo alerta é o processo de implementar atualizações em sistemas e aplicações. Enquanto não há correção possível em hardware, é importante cumprir com as atualizações para firmware e software. Sempre há uma razão lógica para seguir as recomendações dos especialistas naquela tecnologia.

No entanto, existem as razões práticas que dificultam o processo de patching. O tamanho do parque de dispositivos, o tempo de inatividade de sistemas críticos e as possíveis incompatibilidades experimentadas entre uma atualização de sistema e aplicativos, drivers ou plataformas legadas, por exemplo. Aqui, há um dever de casa para toda organização: criar um procedimento em que a atualização de sistemas seja possível da forma mais rápida, sem perda de atividade produtiva.

Por fim, vale registrar que Meltdown e Spectre mostram que a corrida para garantir medidas para um ambiente mais seguro está em curso e é incessante. Além de considerar a segurança no escopo das tecnologias, de ofertas de produtos ou serviços, de seguir as recomendações da indústria, há uma necessidade cada vez mais concreta da adoção de ferramentas para a gestão de vulnerabilidades. É o tipo de ferramenta que permite avaliar o status de segurança da infraestrutura das empresas, definindo ações possíveis para remediação.

Apesar de algum discurso de pânico, é certo que esse tipo de episódio não deve ser negligenciado. O movimento de toda a indústria para criar correções de forma ágil mostra que o perigo é real – apesar de não explorável neste momento. E o que vemos com o histórico recente de evolução do cenário digital é que o quanto a indústria é capaz de avançar, o cibercrime também é.

Cleber Brandão. gerente do BLOCKBIT Labs.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.